Zbog uske integracije između DNS i AD DS, administratori često moraju da rešavaju probleme (Troubleshooting) sa AD DS time što prvo proveravaju da li DNS funkcioniše na najbolji način. Ako DNS ne funkcioniše ili je netačno konfigurisan, AD DS će biti nedostupan za klijente i domenske kontrolere.
Da bismo mogli uspešno da rešimo problem koji se odnosi na integraciju DNS-AD DS, moramo dobro da razumemo na koji način su izgrađeni DNS i AD DS u našem okruženju. Ovo bi trebalo da uključuje konfiguraciju DNS servera, konfiguraciju DNS zona (uključujući listu zona koje su smeštene u AD DS Application Directory Partitions) i delegiranje zona i konfiguraciju prosleđivanja.
Troubleshooting DNS
U većini slučajeva, prvi koraci u rešavanju problema integracije DNS i AD DS bi trebalo da budu najosnovniji DNS Troubleshooting koraci. Ovi koraci uključuju:
- Identifikovanje problema. Često inicijalni problem koji je prezentovao korisnik nije aktuelni problem. Na primer, korisnik može da nam skrene pažnju da ne može da pristupi Internetu, ali aktuelni problem može da bude da korisnik ne može da pristupi određenom Web sajtu ili da je klijentski kompjuter diskonektovan sa mreže.
- Određivanje obima problema. Da li samo jedan kompjuter ili da li samo jedan domenski kontroler ima problem? Ili da li svi korisnici koji se nalaze u istoj kancelariji imaju isti problem? Ako samo jedan kompjuter ima problem, možemo fokusirati rešavanje problema na tom kompjuteru. Ako više klijentskih kompjutera ili servera ima problem, potrebno je pokušamo da identifikujemo zajednički elemenat za sve kompjutere koji imaju isti problem. Da li se svi kompjuteri nalaze u istoj kancelariji ili da li se svi kompjuteri nalaze na istom mrežnom segmentu, ili da li je na svim kompjuterima konfigurisan isti DNS server.
- Potrebno je da proverimo TCP-IP postavke na klijentskom kompjuteru ili na domenskom kontroleru da bismo osigurali da je DNS klijent konfigurisan da koristi odgovarajući DNS server. Najbrži način za proveru ovih postavki je korišćenje komande Ipconfig –all.
- Proveriti da li DNS server ima tačne informacije u svojim zonskim File-ovima. Sa bilo kog kompjutera, možemo da iskoristimo Nslookup.exe alatkicu koja nam služi da odredimo da li odgovarajući zapis postoji u DNS zoni.
- Proveriti DNS sufikse i da li su DNS sufiksi konfigurisani kako treba. DNS sufiksi se koriste na dva načina u Windows Server 2008 DNS-u. Pre svega, DNS sufiksi se koriste kada klijenti pokušavaju da razreše Host imena, a da pritom ne koriste Fully Qualified domain Name (FQDN). Kada klijenstki kompjuter pokuša da razreši Host ime, on će priložiti sve sufikse koji su konfigurisani na klijentskom kompjuteru. Ako tačan DNS sufiks nije konfigurisan na kompjuteru, proces razrešavanja imena neće biti uspešan. DNS sufiksi takođe koriste dinamički DNS. Po defoltu, klijentski kompjuteri će pokušati da registruju svoje Host zapise u zoni koju identifikuje primarni DNS sufiks koji predstavlja DNS ime za domen tog kompjutera. Možemo da odredimo dodatne DNS sufikse i možemo da konfigurišemo kompjuter da registruje svoje DNS postavke u svakoj od zona koje identifikuje DNS sufiks.
- Proveriti da je DHCP klijentski servis omogućen i da li je podešen da se startuje automatski. DHCP klijentski servis je potreban da bi dinamičko ažuriranje (Dinamic Updates) moglo da funkcioniše, čak i ako je kompjuter konfigurisan sa statičkom IP adresom i ne koristi DHCP server.
- Koristiti Network Monitor za hvatanje mrežnog saobraćaja između DNS klijenta i DNS servera. Ako DNS Name Resolution (razrešavanje imena) ili dinamička registracija imena nije uspešna, uhvaćeni mrežni saobraćaj pomoću Network Monitora može da nam ukaže na problem u konfiguraciji (na primer, DNS klijent pokušava da se konektuje na pogrešan DNS Server) ili može da nam ukaže na mrežni problem ( na primer, klijentski kompjuter šalje DNS upit odgovarajućem DNS serveru, ali Firewall blokira upit.
- Omogućiti Debug Loggin opciju. Možemo da sakupljamo detaljne informacije koje se odnose na Windows Server 2008 DNS server omogućavanjem Debug Logging opcije na serveru. Da bismo omogućili Debug Logging, potrebno je da pristupimo Propertiesu DNS servera u DNS konzoli i selektujemo chek boks Log packets for Debugging.
- Ako je dinamičko ažuriranje (Dinamic Updates) neuspešno, potrebno je proveriti da li je DNS zona konfigurisana da dozvoljava dinamičko ažuriranje. Ako je zona konfigurisana tako da dozvoljava samo sigurno ažuriranje (Secure Updates) i ažuriranje je neuspešno, potrebno je da promenimo konfiguraciju zone da dozvoljava nesigurno ažuriranje (Nonsecure Updates). Ako nijedno ažuriranje ne radi, potrebno je proveriti TCP-IP konfiguraciju i proveriti dostupnost DNS servera na mreži. Ako samo Secure Updates (sigurno ažuriranje) nije uspešno, onda bi trebalo da odradimo sledeće korake: Proveriti da li je Host član domena. Dinamičko ažuriranje se zasniva na Kerberos autentifikaciji, koja zahteva da svi klijentski kompjuteri budu članovi domena. Proveriti da li postoji problem sa nalogom mašine (Machine Account) Host-a koji pokušava da ažurira svoj zapis u zoni DNS servera. Ako se problem pojavljuje na samo jednom Host-u, potrebno je da uklonimo Host-a iz domena i ponovo ga učlanimo u domen. Proveriti da li se u DNS zoni nalazi zapis sa istim imenom. Po defoltu, zapisi koje je kreirao jedan Host drugi Host ne može da ih modifikuje ili uklanja. Ako postoji zapis sa istim imenom u DNS zoni, potrebno je da obrišemo zapis i probamo da registrujemo Host-a ponovo.
Rešavanje problema sa SRV zapisom (Troubleshooting SRV)
Kao dodatak osnovnim DNS Troubleshooting koracima, možda ćemo takođe morati da rešavamo problem sa registracijom SRV zapisa domenskog kontrolera koji je potreban da bi domenski kontroler mogao da se locira na mreži. Ako domenski kontroler nije registrovao SRV zapis u DNS-u, proces rešavanja ovog problema bi trebalo da počne proverom TCP-IP postavki i DNS zonskih postavki kao što je gore opisano. Takođe, potrebno je odrediti da li je domenski kontroler u mogućnosti da uspešno registruje svoje Host i PTR zapise. Ako su Host & PTR zapisi registrovani kako treba, i ako su problemom zahvaćeni samo SRV zapisi, potrebno je odraditi sledeće korake:
- Proveriti da li domenski kontroler pokušava da registruje tačne zapise. Da bismo ovo odradili, potrebno je zaustaviti Netlogon servis na domenskom kontroleru i nakon toga obrisati Netlogon.dnb i Netlogon.dns fajlove koji se nalaze na lokaciji %systemroot%\System32\Config folderu. Nakon toga startovati Netlogon servis. Proveriti da li Netlogon.dns File sadrži tačan SRV zapis i proveriti da su ovi zapisi ažurirani u DNS-u.
- Ako zapisi nisu ažurirani na odgovarajući način, potrebno je proveriti System Event Log za greške. Potrebno je potražiti događaje koji imaju Event Ids 5774, 5775 i 5781. Svaki od ovih Event Ids ukazuje na probleme koji se odnose na SRV registraciju zapisa.